发明名称 |
网络设备防攻击的方法和装置、网络设备 |
摘要 |
本发明公开了一种网络设备防攻击的方法和装置、网络设备,用以解决现有技术中存在的网络设备受到网络泛洪报文攻击时缓存被占满,引起网络设备之间无法进行控制面通信而删除路由表,导致网络设备之间无法转发的问题。本发明实施例将网络转发设备的缓存划分为第一缓存和第二缓存,将可能是泛洪攻击报文流中的报文限定存储在第一缓存和第二缓存中一个指定的子缓存区中,在子缓存区中存储的对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,网络转发设备能够有效地识别出网络泛洪攻击报文,并保留一定的存储空间来存储其它报文,保证网络转发设备间的正常通信。 |
申请公布号 |
CN103384252B |
申请公布日期 |
2016.08.24 |
申请号 |
CN201310303688.6 |
申请日期 |
2013.07.18 |
申请人 |
北京星网锐捷网络技术有限公司 |
发明人 |
钟建龙 |
分类号 |
H04L29/06(2006.01)I;H04L12/861(2013.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京同达信恒知识产权代理有限公司 11291 |
代理人 |
黄志华 |
主权项 |
一种网络设备防攻击的方法,其特征在于,包括:网络转发设备预先将其缓存按照预定的第一容量比例划分为第一缓存和第二缓存,并将第二缓存按照预定的第二容量比例划分为至少两个子缓存区;网络转发设备在第一缓存中存在空闲存储空间的情况下,将接收到的报文存储到第一缓存中;在第一缓存中没有空闲存储空间的情况下,判断第二缓存中是否存在为该报文所属报文流分配的子缓存区,在存在的情况下,将该报文存储到与该报文所属报文流对应的子缓存区中,在第二缓存中不存在为该报文分配的子缓存区且第二缓存中存在未分配的子缓存区的情况下,为该报文所属报文流分配一个子缓存区,并将该报文存储到与该报文所属报文流对应的子缓存区;其中,为报文所属报文流分配一个子缓存区,具体包括:将第二缓存中当前容量最大的子缓存区分配给所述报文所属报文流;在预定时间内,在确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。 |
地址 |
100036 北京市海淀区复兴路29号中意鹏奥大厦东楼11层 |